Zola 랜섬웨어 탐지: 킬 스위치가 포함된 새로운 랜섬웨어 변종과 함께 발전하는 프로톤 패밀리
목차:
전 세계적으로 공격 중인 CVE-2024-37085를 악용하는 다양한 랜섬웨어 조직에 의해, 방어자들은 악명 높은 Proton 랜섬웨어 패밀리의 새로운 변종인 Zola에 직면합니다. Zola 변종은 권한 상승, 디스크 덮어쓰기 기능 및 페르시아어 키보드 레이아웃이 감지되면 프로세스를 종료하는 킬 스위치를 통합하여 랜섬웨어 패밀리의 여러 반복 및 업그레이드 결과로 정교한 기능을 보여줍니다.
Zola 랜섬웨어 공격 탐지
Statista의 보고서에 따르면 보고서에, 2023년에 전 세계적으로 3억 1,759백만 건의 랜섬웨어 공격이 발생했으며, 이러한 공격의 규모와 정교함이 지속적으로 증가하고 있음을 강조합니다. 랜섬웨어 조직은 그들의 악성 도구세트를 지속적으로 발전시키며, 새로운 악성 변종이 사이버 무대에 매일 등장합니다.
사이버 방어자들에게 가장 최근의 위협은 Proton 랜섬웨어 패밀리의 새로운 변종인 Zola입니다. Zola 공격을 초기 단계에서 탐지하기 위해, 보안 전문가들은 조직의 보안 태세를 강화하기 위해 관련 탐지 규칙을 집계하고 고급 위협 탐지 및 사냥 솔루션을 제공하는 SOC Prime Platform을 신뢰할 수 있습니다.
아래의 탐지 탐색 버튼을 눌러 Zola 랜섬웨어 공격과 연관된 악성 활동을 해결하기 위해 설계된 종합적인 탐지 스택에 즉시 액세스하십시오. 모든 탐지 규칙은 30개 이상의 SIEM, EDR 및 데이터 호수 솔루션과 호환되며, MITRE ATT&CK 프레임워크에매핑됩니다. 또한, 탐지 알고리즘은 위협 조사 효율성을 향상시키기 위해 참조, 공격 타임라인 및 처치 권장 사항을 포함한 광범위한 메타데이터로 풍부하게 보강됩니다. CTI references, attack timelines, and triage recommendations, streamlining threat investigation.
최신 랜섬웨어 공격을 처리하고 그 진화를 회고적으로 조사하는 데 추가 탐지 내용을 찾고 있는 보안 전문가들은 SOC Prime의 위협 탐지 마켓플레이스를 신뢰할 수 있습니다. “랜섬웨어” 태그를 적용하면, 사이버 방어자들은 관련된 규칙과 쿼리의 포괄적인 컬렉션을 찾을 수 있습니다.
Zola 랜섬웨어 분석
지난 10년 동안 새로운 랜섬웨어 변종의 등장은 일반적인 현상이 되었으며, 그 중 일부는 정교함과 지속성이 증가하고 새로운 반복 시도를 통해 진화하며 재브랜딩되어 방어자들이 항상 경계해야 할 필요성을 고취합니다. Acronis의 연구자들은 최근에 Proton 패밀리의 재브랜딩 버전인 Zola 랜섬웨어를 발견했으며, 이는 2023년 초봄에 처음 등장했습니다.
수많은 전임자와 마찬가지로, Zola는 Mimikatz, Windows Defender 보호를 극복하기 위한 다양한 유틸리티 및 초기 침해를 위한 기타 공격 도구를 사용합니다. Zola는 통과 실행 시 동시 실행 방지를 위해 뮤텍스를 생성한다는 점에서도 이전 패밀리 변종과 유사성을 공유합니다. 그러나 최신 버전은 페르시아어 키보드 레이아웃을 탐지하면 프로세스를 종료하는 킬 스위치를 특징으로 하여 이전 대비 두드러집니다.
킬 스위치가 활성화되지 않으면, Zola는 관리자 권한을 검사하고 검증이 실패할 경우 피해자를 속여 실행 파일을 권한 상승 상태에서 실행하도록 합니다. 파일을 암호화하기 전에 Zola는 고유한 피해자 ID 및 키 데이터를 생성하고, 휴지통을 비우며, 부팅 구성을 수정하고, 복구를 방지하기 위해 쉐도우 복사본을 삭제하는 등의 여러 준비 작업을 수행합니다. 또한 보안 소프트웨어 및 파일 암호화를 방해할 수 있는 다른 프로그램을 포함하여 바이너리에 나열된 다양한 프로세스와 서비스를 대상으로 삼습니다.
준비 작업이 완료되면, Zola는 파일을 암호화하기 위해 여러 스레드를 시작하고 각 암호화된 폴더에 랜섬 노트를 저장합니다. 또한, 바탕화면 배경화면을 피해자가 고유 ID와 함께 적의 이메일로 보낼 지침을 표시하도록 변경합니다.
다른 Proton 기반 랜섬웨어 반복과 유사하게, Zola는 디스크 덮어쓰기 기능을 유지합니다. 거의 실행 끝부분에서, C:에 임시 파일을 생성하고, 디스크가 가득 찰 때까지 초기화되지 않은 데이터를 500 KB 조각으로 씁니다. 그다음 파일을 삭제합니다. 이 공격자 방법은 안티멀웨어 분석 및 데이터 복구를 방해하기 위해 디스크의 남아 있는 슬랙 공간을 덮어쓰기 위해 의도되었습니다.
Zola와 같은 새로운 랜섬웨어 반복의 증가는 이전 버전의 핵심 기능을 유지하면서 더 고급 기능을 도입하여 진화하는 위협에 대응할 더욱 정교한 방법을 요구합니다. SOC Prime의 완전한 제품군은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증으로 조직이 이미 가지고 있는 팀과 기술 스택을 기반으로 방어를 대규모로 발전시키도록 돕습니다.
